DNS 域间传送

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介: 在之前已经讲过DNS server 安装配置,那么今天来讲一下DNS配置中可能存在的安全问题之一——DNS域间传送。下面我们通过实验来说明一下DNS域间传送安全问题step1.还是用我之前的搭建的DNS Server做实验启动DNS Server(Bind服务)[root@localhost ~]# service named start首先我们不对配置文件做任何修改,nslookup测试一下图片.png可以看到默认域间策略是打开的,但有时候是关闭的,我的环境上测试是打开的。

在之前已经讲过DNS server 安装配置,那么今天来讲一下DNS配置中可能存在的安全问题之一——DNS域间传送。

下面我们通过实验来说明一下DNS域间传送安全问题

step1.还是用我之前的搭建的DNS Server做实验
  • 启动DNS Server(Bind服务)
[root@localhost ~]# service named start
  • 首先我们不对配置文件做任何修改,nslookup测试一下
img_61280c183c50185d0786e4e416bab31e.png
图片.png

可以看到默认域间策略是打开的,但有时候是关闭的,我的环境上测试是打开的。

step2.配置DNS域间传送
  • 一般DNS是公司重要的基础性业务,很多公司都会对dns进行主备配置,也可以叫做主从配置,也就是需要dns服务器之间需要数据同步,这个时候就要需要打开域间策略,如下图:
[root@localhost ~]# vim /etc/named.conf
img_01d1c16b4339dce46d15211c1f447c4c.png
图片.png
  • 配置完后重启服务!!!
img_e681c240a5cc0f013d9a35ffcaa38bc3.png
图片.png
  • 然后再来测试
img_1cab7e8277e5bd484e15419f29b62ff0.png
图片.png

发现这样配置域间策略是错误的,很危险,原因就是上面配置的
allow-transfer { any; };这行配置打开DNS域间传输没有错,但是里面写的是any;这个就不对了,这样写任何人都可以同步到你的DNS Server数据。正确配置应该写备DNS服务器的地址。

  • 正确配置:我这就一个DNS Server ,就设置为只有本机可以访问的到了。如下图所示:
img_8185a4aa2eecc976730e9add053ab5e4.png
图片.png

地址改为127.0.0.1 ,localhost也行,别漏掉最后的分号。

保存并退出,然后记得重启服务。

[root@localhost ~]# service named restart
停止 named:                                               [确定]
启动 named:                                               [确定]
[root@localhost ~]# 
  • 然后再测试
img_909cfed5908adf5612123d6764563099.png
图片.png

这次就发现Query refused拒绝查询。

扩展1:上面是使用nslookup工具来测试DNS域间传送漏洞,然后再介绍一个dig工具(Linux下)也可以用来测试,测试方法如下:
[root@localhost ~]# dg @192.168.3.112 axfr zzqa.com
img_fdbc21d26bcc79cd5ad4e3bcb4b62507.png
图片.png
扩展2:上面写配置是在/etc/named.conf里面options部分配置,其实也可以在/etc/named.rfc1912.zones自定义的域里面配置,如下图所示:
img_b9df76ae88cbe610cba0f50414e2e5da.png
图片.png
上面我说了安全配置有两个文件,选择任意一个即可,但是注意的是:/etc/named.rfc1912.zones要比/etc/named.conf优先级要大!!!

好了,DNS 域间传送就先讲到这,之后学习到新的东西在继续写。

目录
相关文章
|
安全 网络协议
最新可靠好用的DNS服务器地址汇总
如果修改DNS服务器地址就可以访问google等服务,你还等什么?使用免费DNS解析服务除了去掉了运营商的各种广告,还有个最大的好处就是不会重定向或者过滤用户所访问的地址,这样就防止了很多网站被电信、网通劫持,有利于提供访问一些国外网站的成功率 如googlecode,网友应该养成不使用默认DNS的习惯,笔者汇总了常用可靠的DNS服务器地址。
14806 0
|
6月前
|
域名解析 缓存 网络协议
应用层--DNS
应用层--DNS
46 1
|
7月前
|
域名解析 缓存 网络协议
DNS协议 是什么?说说DNS 完整的查询过程? _
DNS是互联网的域名系统,它像翻译官一样将域名转换成IP地址。域名由点分隔的名字组成,如www.xxx.com,包含三级、二级和顶级域名。查询方式分为递归和迭代,递归是请求者必须得到答案,而迭代则是服务器指引请求者如何获取答案。域名解析过程中,会利用浏览器和操作系统的缓存,如果缓存未命中,本地域名服务器会通过递归或迭代方式向上级服务器查询,最终得到IP地址并返回给浏览器,同时在各级缓存中保存记录。
164 1
DNS协议 是什么?说说DNS 完整的查询过程? _
|
7月前
|
网络协议 数据格式
|
缓存 网络协议
DNS协议 是什么?DNS 完整的查询过程是怎样的
DNS协议 是什么?DNS 完整的查询过程是怎样的
358 0
|
域名解析 缓存 网络协议
DNS 功能详解 不叫地址解析协议
DNS 功能详解 不叫地址解析协议
143 0
|
网络协议 网络架构
ARP协议(地址分析协议)
本文详细的介绍了ARP地址解析协议,可以让学习数通的方向的人们,打下坚实的基础。
|
安全 网络协议 Shell
DNS域传送漏洞
备份服务器需要利用”域传送“从主服务器上复制数据,然后更新自身的数据库,以打到数据同步的目的,这样是为了服务器挂了还有备份可用。而DNS域传送漏洞,则是由于dns配置不当,本来只有备份服务器才能获取主从服务器的数据,由于漏洞导致 任意client都能通过“域传送”获得主服务器的数据(zone数据库信息)。
800 0
|
缓存 监控 网络协议
基于TCP的DNS传输:操作要求
本文档更新了RFC 1123和RFC 1536。本文档要求将允许DNS消息在Internet上通过TCP传输的操作实践作为当前最佳实践。此操作要求与RFC 7766中的实施要求一致。TCP的使用包括基于未加密TCP的DNS以及加密的TLS会话。该文件还考虑了这种形式的DNS通信的后果,以及在不支持当前最佳实践时可能出现的潜在运营问题。
533 0
基于TCP的DNS传输:操作要求
|
存储 缓存 网络协议
基于TCP的DNS传输:实施要求
本文档是 Internet 工程任务组 (IETF) 的产品。它代表了 IETF 社区的共识。它已接受公众审查,并已获互联网工程指导小组 (IESG) 批准出版。有关 Internet 标准的更多信息,请参见 RFC 5741 的第 2 节。
732 0
基于TCP的DNS传输:实施要求